Un outil de sécurité open source a été lancé avec la promesse d’un « moyen infaillible » pour détecter les prises de contrôle IP élastiques pendantes.

Les organisations se rendent vulnérables à ces attaques de prise de contrôle de sous-domaine lorsqu’elles suppriment des instances EC2 d’Amazon Web Services (AWS) ou leur attribuent de nouvelles adresses IP, mais oublient de supprimer les enregistrements DNS qui pointent vers les adresses IP associées aux instances.

Les attaquants peuvent identifier ces sous-domaines vulnérables en revendiquant continuellement des adresses IP élastiques jusqu’à ce qu’ils trouvent une adresse IP associée au sous-domaine d’une organisation ciblée.

Cette approche de « loterie » a également été proposée comme un moyen pour les défenseurs de détecter les IP élastiques pendantes dans la recherche sur la technique d’attaque. datant de 2015.

Cependant, le ‘chasseur de fantômes‘, développé par la société australienne de cybersécurité Assetnote, propose une approche différente : il énumère toutes les adresses IP publiques associées aux comptes AWS d’une organisation et vérifie les enregistrements DNS pointant vers des adresses IP élastiques que ses comptes AWS ne possèdent pas.

Vecteur d’attaque éliminé

Shubham Shah, co-fondateur et directeur technique d’Assetnote, a déclaré que les propres expériences aléatoires de l’entreprise avec l’approche de la loterie avaient incité AWS à dire à ses chercheurs de cesser d’utiliser la technique.

« Cette approche est, comme son nom l’indique, comme une loterie : vous pouvez avoir de la chance, vous ne pouvez pas », a-t-il déclaré. La gorgée quotidienne. «Ce n’est pas un moyen infaillible de détecter les prises de contrôle IP élastiques pendantes, contrairement à Ghostbuster.

Il a ajouté: « Alors que l’approche de la loterie est la seule approche que les attaquants peuvent utiliser, avec Ghostbuster, vous pouvez éliminer complètement les prises de contrôle IP élastiques pendantes. »

La seule mise en garde est que vous devez « avoir accès à tous vos comptes AWS et à vos enregistrements DNS » afin d’obtenir « des résultats précis et complets ».

Fort impact

Les prises de contrôle de sous-domaines IP élastiques pendantes sont l’une des nombreuses vulnérabilités de mauvaise configuration qui surviennent fréquemment et qui résultent du modèle de sécurité de «responsabilité partagée» utilisé par les principaux fournisseurs de cloud, a déclaré Shah dans un article de blog.

Cette saveur particulière de prise de contrôle de sous-domaine devient de plus en plus courante, à mesure que les organisations migrent des services vers le cloud public et mal configurent par inadvertance leurs instances, ce qui est «exacerbé par le provisionnement automatique».

L’impact potentiel est également plus grave que pour d’autres techniques de prise de contrôle de sous-domaine où les attaquants ne peuvent contrôler que le contenu diffusé.

VOUS POURRIEZ AUSSI AIMER Microsoft renforce la sécurité du navigateur Edge avec des fonctionnalités améliorées

En plus d’héberger du contenu malveillant ou d’exploiter un domaine « de confiance » pour les attaques de phishing, les attaquants peuvent également potentiellement revendiquer les certificats SSL du sous-domaine via les défis ACME TLS ; intercepter les informations sensibles envoyées au sous-domaine ; et exécuter des scripts côté serveur qui volent les cookies HTTPOnly, permettant ainsi des attaques de prise de contrôle de compte en un clic.

« Presque toutes les entreprises qui utilisent AWS souffrent de ce vecteur d’attaque », a déclaré Shah. « Dans de nombreux cas, il est également possible d’effectuer des attaques de prise de contrôle de compte en raison de la large portée des cookies. »

Certains chasseurs de bugs gagnent jusqu’à 50 000 dollars par mois en exploitant le problème sur les clients AWS, a déclaré Shah.

AWS combat actuellement la menace en bloquant les comptes qui exécutent des schémas d’attaque suspects, ce qui « élève la barre de l’exploitation dans une certaine mesure (en particulier à grande échelle) », mais « n’est pas une atténuation efficace à long terme du problème sous-jacent ».

AWS travaille apparemment sur des mesures d’atténuation supplémentaires. La gorgée quotidienne a demandé à AWS quand ces atténuations pourraient arriver, nous mettrons donc à jour l’article si et quand nous recevons une réponse.

Chasse aux fantômes

Ghostbuster « utilise vos fichiers .aws/config et .aws/credentials pour parcourir chaque compte configuré et effectuer le traitement », a déclaré Shah.

Vous pouvez utiliser Route53, Cloudflare ou des entrées manuelles pour gérer vos zones DNS, et « il est également possible de configurer un webhook Slack afin que cet outil envoie une notification lors de la détection d’une prise de contrôle potentielle ».

Ghostbuster peut également « s’exécuter fréquemment comme une tâche cron, vous informant des prises de contrôle IP élastiques potentielles au fil du temps ».